數字靶場能力點陣圖2022 - 網安 - 專業的網絡安全產業、社區、知識平臺

自2020年《網絡靶場能力指南》發布以來，已經過去了近兩年。為了緊跟技術與行業的變化，數世咨詢今年將傳統網絡安全靶場與工業靶場結合，在數字安全的范疇下，定義了“數字靶場”的概念，并更新了相關點陣圖。同時，基于過去兩年的變化，有了新的關鍵發現。

數世咨詢對“數字靶場”的定義如下：

基于虛擬化技術，對真實數字空間中的網絡架構、系統、設備、業務流程的運行狀態及運行環境進行模擬和復現的產品或解決方案，以更有效地實現與數字安全相關的學習、研究、檢驗、競賽、演習等行為，從而提高人員及機構的數字安全對抗水平。

數字靶場點陣圖2022

點陣圖將數字靶場廠商分為三種類型：

融合源：擁有較多不同安全產品能力，并且能通過其他產品聯動或者積累使數字靶場能力進一步提升的廠商。

能力源：在某一技術特點上較為突出，或者從某一獨特賽道切入數字靶場領域的廠商。

專注源：以數字靶場為主要安全能力的廠商。

（紅色字體代表工業靶場專精企業）

本次最終參與并進入數字靶場點陣圖的廠商共有20家，分別為：360政企安全、安帝科技、安恒信息、安碼科技、博智安全、長揚科技、烽臺科技、華順信安、錦行網絡、六方云、綠盟科技、木鏈科技、奇安信、啟明星辰、賽寧網安、四葉草、星闌科技、易霖博、永信至誠、丈八網安。

關鍵發現

數字靶場的應用場景依然在教育、實訓、競賽、演練、研究五個領域。五個場景的落地情況均有大幅度的提升。但是，對于絕大部分企業而言，數字靶場依然屬于“奢侈品”，大部分需求（客戶數量，非市場份額）依然停留在教學、實訓。
數字靶場的技術實現已經開始向“原子化聚合”方向轉變：過去的傳統網絡靶場與工業靶場主要會根據教育、實訓、競賽、演練和研究的不同用途形成不同的靶場平臺類產品，而當前有越來越多的企業將這五類應用場景從底層統一到同一個產品中，從而讓客戶可以基于自己每個不同時間點上不同的需求，在統一個平臺上構建各種應用場景。尤其對于一些近年的數字靶場創業企業，都在致力于自研底層架構，實現同一平臺、不同場景應用場景的實現。
數字靶場需要在數字安全防護能力本身的虛擬化程度上進一步發力。數字靶場的一大落地場景是攻防演練，在此基礎上可以實現多維度的推演。但是，真實的數字環境當中，安全防護能力（如防火墻、EDR、蜜罐等）是不可或缺的。因此，如何將安全能力虛擬化到數字靶場當中會是對數字靶場的下一個挑戰。
數字靶場技術的另一個發展方向在流量仿真上。一個真正的數字環境并非只有攻與防的流量，而是應該以正常的業務為主要流量。如果要使演練、推演更貼近實際使用環境，需要更為貼近用戶本身的正常業務流量——這不僅包括了正常應用之間頻繁的交互，甚至還需要摻雜一些錯誤信息的流量。
在交付模式上，數字靶場的市場份額由兩年前的標準化單品為主，轉向定制化加運營的模式。從調研過程來看，標準化單品的需求量依然很多，但是定制化加運營的模式往往單個項目的價格非常高，使得從銷售額上來看，定制化加運營模式的數字靶場占比大幅度上升。
對于絕大部分企業而言，數字靶場當前依然屬于數字安全的“奢侈品”，是獨立于企業數字安全架構之外的。數字靶場如何能夠融入企業的數字安全架構，并且基于企業自身的數字安全歷史事件，為企業提供針對性的方案推演支持、事件復現和員工培訓，是未來值得去挖掘的方向。

數字靶場市場調研

數字靶場在數世咨詢數字安全能力圖譜2022中位于安全運營下的安全演練分類中；在數世咨詢的2022年度數字安全成熟度階梯（安全運營）中位于熱力區，市場成熟度屬于發展市場，技術維度屬于融合創新階段。

根據本次調研，2020年數字靶場市場收入已經達到11.68億元（合同額），2021年收入達到18.94億元。預計2022年可達24億元，2023年收入有望超過31億元，超出數世咨詢在2020年《網絡靶場能力指南》中的預測。

首先，360政企安全、烽臺科技、綠盟科技、賽寧網安、永信至誠在這兩年發展迅猛。尤其是科技館、城市基地相關項目的涌現，使得數字靶場收入呈現井噴的情況。但是，考慮到企業人員規模以及當前項目建設周期等因素，部分頭部企業收入發展增速會放緩。

另一方面，近年來有不少新的企業進入數字靶場領域，盡管這些企業當前各自的市場份額很小，但是發展潛力很大。未來幾年，這類企業能夠貢獻相當一部分國內數字靶場的收入增長數額。

《網絡靶場能力指南》2020年預測

和2019年相比，數字靶場交付模式最大的變化在于從單一標準化產品轉向了定制化產品與運營。單一標準化產品的占比從60%下降了一半到30%，而定制化產品與運營的方式則從19%躍升至41%。數世咨詢認為，這一轉變的一大原因在于數字靶場應用場景的變化。對于教學/實訓、競賽類的應用場景，往往單一標準化的數字靶場產品就已經足夠了；但是對于演練、研究的落地場景，尤其是需要長期使用的數字靶場，則需要定制化或者長期運營服務的方式進行。盡管從需求量上來看，教學與競賽相關場景的數量居多，但是這類產品的單筆項目銷售額相對演練、研究場景（包括一些多場景需求的數字靶場）這類需要定制化或者運營的數字靶場項目單筆銷售額，差距極大。

另一方面，數字靶場的SaaS化交付模式已經接近6%。

《網絡靶場能力指南》2020年報告交付對比

從銷售方式來看，數字靶場能力以直銷為主，占比為72%。渠道銷售占比有明顯提升，從15%提升到了25%。

《網絡靶場能力指南》2020年報告銷售對比

數字靶場最大購買區域為華北，占33%；其次為華東，占21%。西南、華中和華南地區差距不大。

數字靶場當前最大使用行業為地方政府，占比29%，相比2019年占比增長了8%，其原因是過去兩年里，有大量的城市基地項目開始建立，其中包括了大量的靶場相關產品。教育與科研和監管機構占比變化不大，依然為第二和第三位置。

《網絡靶場能力指南》2020年報告行業用戶對比

部分廠商簡評

數世咨詢從進入點陣圖的廠商中，選出部分數世咨詢認為較有特色的靶場廠商，分別做一些簡單的評價（按名稱排序）：

360政企安全：360政企安全的靶場收入在過去兩年增長速度極快，主要來源為各個城市基地項目中的靶場功能部分。360的數字靶場在實網演練上有著很大的優勢。同時，360自身的其他安全能力，尤其是相關實驗室，能夠為其數字靶場提供更為豐富的知識庫與劇本支持。
博智安全：博智安全能夠提供多類特種領域靶場，能夠滿足多種特殊領域的演練與研究需求。
烽臺科技：烽臺科技能夠對大量工控系統進行細致的仿真。除了能夠應對多種工控場景的推演，烽臺科技的靶場還能夠對多類工控設備、工控系統本身進行研究、分析，發現其存在的漏洞與風險。
綠盟科技：綠盟科技兼有傳統網絡靶場與工業靶場兩種靶場。同時，綠盟科技的數字靶場能夠進行基于知識圖譜的掛圖作戰模擬，進一步提升攻防演練的效果。
木鏈科技：木鏈科技基于底層引擎出發，衍生出多種工業互聯網安全產品——包括工業靶場。木鏈科技的工業靶場正在與工業互聯網安全管理平臺結合，通過工業互聯網安全管理平臺的數據和反饋，將客戶自身環境中存在的安全問題映射到工業靶場，從而進行針對性的實訓與演練。
賽寧網安：作為國內首個聯賽制CTF比賽的主辦方，賽寧網安在數字靶場有相當深厚的積累。尤其在攻防能力與武器庫的研究層面，賽寧網安的數字靶場能夠為高級別攻防對抗的演練和研究，提供良好的環境。
永信至誠：作為國內領先的數字靶場企業，永信至誠無論在底層仿真能力上，還是在業務仿真能力上，都有深厚的積累。永信至誠能夠構建多種領域的復雜業務靶場，能夠幫助企業從實際需要解決的問題與演練的目標出發，在同一靶場平臺上構建不同使用場景。
丈八網安：丈八網安的靶場可稱之為原生數字靶場，具備元計算、原子化和自主可控三大特點，極具創新力。此外，丈八網安還在運營著國內頗具影響力的漏洞社區，有力支撐數字靶場。

案例一：某金融行業企業基于靶場構建SWIFT復現對比場景項目（本案例由360政企安全提供）

場景介紹

該金融企業行業領軍企業，在網絡安全領域，該企業著眼于世界，對國際范圍內發生的各種網絡安全事件，特別是發生在金融領域的網絡安全威脅事件，會進行持續的關注和研究，并期望能夠將其凝練為經驗，完善網絡安全團隊的整體能力體系。

在此案例中，客戶選擇了金融領域中發生的影響較大的SWIFT劫持事件作為一期建設目標。

客戶需求

事件重現：針對SWIFT事件的真實歷史過程，重現其歷史背景、事件過程、攻防手法、關鍵技術點等核心內容，通過靶場系統的態勢展示模塊進行形象展示，用以幫助網絡安全人員建立起對SWIFT劫持事件的初步認知。

場景模擬：根據處于SWIFT劫持事件暴風眼的孟加拉央行的實際網絡環境，模擬抽象出一個近似的虛實結合場景，用以供網絡安全人員進入實操以切身體會事件中所涉及的攻防技術手法。

對比研究：針對客戶現行業務網絡環境，抽象模擬出近似的虛實結合場景，并與孟加拉央行的模擬網絡環境進行平行對比，以探究現行業務網絡環境的安全性配置是否能夠成功抵御類似網絡安全威脅。

解決方案

本次項目根據客戶的具體需求，整個解決方案按照事件重現->場景復現->業務場景模擬->復盤推演四個維度展開。

事件重現：360網絡安全智庫團隊深入調研了SWIFT劫持事件的始末，將事件重現分為了歷史事件回放、技術細節分析、應對過程分析三個部分。歷史事件回放部分，完整的將事件發生的背景以及事件演進步驟利用3D動畫的形式進行了展現，以形象的描述事件始末。技術細節分析則將事件的關鍵點進行了拆分，并利用視頻課件及ppt課件，對其所涉及到的網絡安全技術進行了詳細的講解。應對過程分析則是緊跟技術細節分析給出，讓網絡安全人員對當時的應急處理策略有一個整體認知。

場景復現：360場景資源團隊，在深入研究了SWIFT劫持事件的調查資料后，復原了孟加拉央行當時的網絡結構，并依照構建了虛擬網絡場景。為了保證場景的真實性，360靶場團隊與客戶深度合作，將客戶的測試用SWIFT真機通過虛實結合的方式接入了上述虛擬場景，同時也將SWIFT劫持事件中的關鍵設備——打印機——通過虛實結合的方式進行了接入，由此便完整復現了SWIFT劫持事件中的最核心流程——打印虛假票據。復現后的場景接近與1:1還原了孟加拉央行當時的實際網絡，為網絡安全人員研究和學習SWIFT劫持事件提供了真實環境。

業務場景模擬：為了能夠將客戶處的現行網絡與孟加拉央行網絡進行對比研究，360場景資源團隊還對客戶的現行業務網絡進行了仿真和模擬。

復盤推演：利用對比推演和岔路重選技術，將孟加拉央行網絡模擬與客戶現行網絡模擬進行對比推演，在事件關鍵點，通過岔路重選技術，選擇不同應對策略觀察推演事件進展流程，從而對客戶現行網絡防護策略和應急響應機制提供修正建議。

客戶價值

通過將SWIFT劫持事件復現在靶場平臺中，客戶為其網絡安全人員提供了一個可反復學習和試驗的環境，以提升自身網絡安全技能以及針對此類網絡安全威脅的防護能力。

同時，通過將現行業務網絡與孟加拉央行網絡進行對比分析，一方面展示了自身業務網絡的健壯性和安全性，同時，為今后防范此類網絡安全威脅提供了可行的安全策略和應急響應方案。

客戶評價

借助于360網絡攻防靶場的事件復現能力及推演復盤能力，充分提升了所屬網絡安全團隊的整體技能水平，對于歷年發生的著名網絡安全事件構建起了整體分析和應對能力，通過推演復盤，反復推敲現行業務網絡的薄弱點和應對方案，讓行內構建起了更加高效的安全防護策略和應急響應預案。

案例二：某鋼鐵集團工業互聯網安全運營平臺與融合靶場（本案例由木鏈科技提供）

客戶背景

某鋼鐵集團有限公司業務涵蓋現代物流、國際貿易、教育、體育等多元板塊的國家級特大型鋼鐵聯合企業、曾榮獲“中國工業大獎”的民營鋼鐵企業，并連續多年位居全球鋼企粗鋼產量50強、中國企業500強，中國民營企業、中國制造業百強行列。集團內工業網架構不包含安全設計與部署。

客戶需求

某鋼鐵集團原有網絡安全體系在“智慧工廠”的背景下顯得捉襟見肘，傳統的防火墻、入侵防御等設備在面對互聯互通的新場景下，無法有效處理數據安全、生產安全等業務場景，成為了制約智能制造的瓶頸。因此，用戶亟需建立一套與當前業務場景相匹配的網絡安全體系，保障業務安全，促進業務發展。

與此同時面臨越來越龐雜大復雜的生產網架構，集團時刻受到未知安全問題的威脅。尤其在企業數字化改造及兩化融合工作進程中，如何確定新信息化方案的安全性與可落地性成了最大的難題，針對新信息化決策的威脅驗證工作與工業仿真靶場需求也是用戶在本次項目中重要的關注點。

解決方案

該項目根據用戶的要求和調研，決定采用平臺化方案解決現有的安全問題，根據各廠區實際情況部署工控安全審計平臺與集團工控安全生態運營平臺，實現雙平臺聯動。

工業融合靶場（即威脅驗證平臺）以企業威脅驗證平臺的形式獨立構建于工業網，在如上圖所示鋼鐵集團工業互聯網安全內生運營體系中，威脅驗證平臺將來自于工業互聯網安全生態運營中心的數據進行風險驗證，最終將驗證結果反饋給運營中心。以此途徑來實現靶場在企業工業信息化過程中無法替代的威脅驗證價值。

靶場的數據來源除了由集團工業互聯網安全運營平臺分析提供的精密數據流之外，還有來自全廠各車間生產網的階段性數據匯總。在安全防護體系發揮作用的時間內，生產網架構的上下游貫通將會隨著兩化融合進程的深入逐步落地，而面對未知的生產網未來架構與無法預料的多樣化業務需求，靶場將會提供足夠的安全性緩沖窗口與應急響應能力孵化手段，幫助用戶度過即將到來的嚴峻安全挑戰。

獨立架構使用戶可以自主開展安全威脅驗證、工業環境與流量仿真、安全演練等基礎靶場業務。并通過工業互聯網安全運營平臺與融合靶場之間的數據連接與應用，進一步升華工業互聯網安全體系的可持續發展。

客戶價值

三重內循環體系，突破狹義安全思維

木鏈科技安全團隊通過打通靶場與運營平臺之間的數據通道，創立了一套能夠自我反饋、自我調整、自我升級、自我輔助決策的工業互聯網內生安全體系，該體系立足于國家工業信息安全普遍現狀，以孵化企業用戶自身的安全技術能力體系為最終目標。木鏈科技將通過安全防護體系、工業融合靶場、安全運營中心三重內循環架構，提供適應用戶發展需要的安全防護能力，并在此基礎上利用好靶場進行安全技術能力的孵化與升級。

安全助力生產，充分儲備應急響應手段

項目建成以后，通過體系的建立，幫助企業減少不必要的安全投入，目前暫時無法完全改變的生產網內部結構，安全問題的根源在于不可控的工業自動化系統，在保全用戶業務正常運轉的前提下，依托于三重內循環體系的靶場，能夠為全廠生產網提供安全問題爆發時的應對良策，將安全事件的危害與影響在能力范圍內降到最低。

開放式靶場架構，兼容安全與業務

工業信息安全服務于業務本身，本案例中的工業融合靶場（即威脅驗證平臺）在進行數據獲取與傳輸的過程中，對接口進行了充分的規劃，并預留了底層框架設計空間。初步建設方案驗證與威脅驗證等靶場基礎能力后，靶場內部將全方位還原用戶全部工業網場景，并對關鍵數據通路進行細粒度仿真，立足于業務數據本身，從生產網底層協議與數據流出發，逐步將安全設計融入到生產業務，并構建一整套有梯度的工業安全價值判定體系。

項目進度總結

目前就該鋼鐵集團工業互聯網安全生態運營平臺的建設情況而言，平臺已經完成了安全部署區域的安全態勢感知，已經進入了安全內循環的階段。而在靶場平臺中已經完成了對試點工業現場的工藝及網絡復刻。

在靶場平臺與安全運營平臺之間，靶場的實驗數據被匯總成安全報告與數據倉庫，為企業接下來的安全建設與風險應對提供報告依據與數據藍本。各車間的工控流量，通過modbus等工業協議傳遞到工業互聯網安全運營平臺，平臺以此為基礎，在現有的安全基礎上進行下一步的安全設計，而這一步，將在靶場平臺中進行首次仿真驗證。實際反饋包括業務安全性、業務穩定性、安全態勢的均衡掌控等高級安全能力建設。在這些維度木鏈科技正在和用戶做技術對接，包含api接口的開放、工業協議轉換、業務屬性融合、有梯度的工業安全價值判定體系的構建等等，在此進程中將會涉及到更多未曾提前預料到的問題，憑借技術能力逐一研究，并且時刻與用戶的業務部門保持同步，務必融合工業安全與工業生產，任重而道遠。